Di era ancaman siber yang terus berkembang, penjahat dunia maya tidak lagi membutuhkan kerentanan zero-day tingkat tinggi untuk menembus sistem organisasi. Terkadang, yang mereka butuhkan hanyalah penyamaran cerdas dan satu momen kelengahan dari pengguna.
Baru-baru ini, tim Managed XDR Barracuda berhasil mendeteksi dan menetralkan dua serangan yang sangat mirip, di mana pelaku memanfaatkan ScreenConnect—alat remote access yang sah—untuk mengompromikan endpoint dan mencoba mendapatkan kendali penuh pada dua perusahaan berbeda.
Berkat deteksi cepat dan tindakan tegas dari Security Operations Center (SOC) kami, kedua insiden ini berhasil dikendalikan sebelum penyerang sempat melakukan pergerakan lateral atau mengekstrak data sensitif.
Mari kita kupas bagaimana kedua serangan ini terjadi—dan mengapa kasus ini menjadi pengingat penting bagi organisasi untuk memperkuat pemantauan endpoint dan berinvestasi pada kemampuan deteksi serta respons terkelola yang proaktif.
Dua Perusahaan, Satu Taktik
Serangan pada Perusahaan A
Semua dimulai dari sebuah kejanggalan kecil: seorang pengguna melihat aplikasi pajak terbuka di komputernya, padahal ia tidak pernah membukanya. Keanehan ini memicu investigasi lebih dalam oleh analis SOC dari Barracuda Managed XDR.
Setelah menelusuri log sistem, tim menemukan deployment ScreenConnect tidak sah, yang diinstal dengan penyamaran sebagai dokumen “Social Security” yang diunduh oleh pengguna. Begitu terpasang, pelaku memanfaatkan ScreenConnect untuk mendapatkan akses jarak jauh dan mulai memanipulasi endpoint.
Di Perusahaan A, SOC menemukan file executable mencurigakan di folder downloads pengguna dan mendeteksi salinan software jahat yang tersembunyi di direktori sistem seperti \Local\Apps\2.0\ dan \Windows\SystemTemp\. Yang lebih mencurigakan, tim juga melihat file baru bermunculan dalam pola berulang dan saling berinteraksi—indikator klasik adanya upaya obfuscation atau persiapan ekstraksi data.
Karena deployment XDR di Perusahaan A belum terintegrasi dengan firewall (sehingga visibilitas terhadap potensi exfiltration data terbatas), SOC menyarankan langkah containment segera: memformat ulang dan membangun ulang perangkat yang terinfeksi untuk menghapus jejak malware dan mekanisme persistensi sepenuhnya.
Serangan pada Perusahaan B
Sementara itu, Perusahaan B menemukan anomali yang berbeda: gerakan mouse acak di salah satu workstation mereka. Investigasi mendalam kembali menemukan pola serangan yang sama—seorang pengguna yang tidak waspada telah mengunduh file “Social Security” palsu yang sebenarnya adalah installer ScreenConnect.
Setelah mendapatkan akses, pelaku mengunduh alat tambahan, termasuk skrip VBS, untuk memperkuat kontrol mereka. Salah satu skrip, Child-Backup.vbs, menjalankan perintah PowerShell yang diobfuscate untuk menginstal malware Remcos—Remote Access Trojan (RAT) canggih yang memberi pelaku kendali penuh atas sistem Windows.
Berkat pemantauan log firewall dan pemantauan endpoint berkelanjutan, SOC tidak menemukan bukti adanya data yang berhasil diekstraksi. Namun, karena risiko persistensi yang tinggi, langkah serupa dilakukan: perangkat yang terinfeksi diformat ulang dan dibangun ulang dari awal.
Pelajaran Penting dari Dua Serangan Ini
Fakta bahwa dua organisasi terpisah menjadi korban taktik yang sama menyoroti realitas pahit:
- Pelaku semakin sering menyalahgunakan aplikasi sah seperti ScreenConnect untuk menghindari deteksi.
- Skrip dan malware ter-obfuscate dapat bersembunyi di depan mata, membuat antivirus tradisional atau pertahanan statis tidak lagi memadai.
- Perilaku pengguna tetap menjadi titik lemah kritis, karena teknik rekayasa sosial terus berhasil menipu bahkan karyawan yang berhati-hati sekalipun.
Mengandalkan deteksi berbasis tanda tangan atau berasumsi bahwa aplikasi tepercaya selalu aman kini sudah tidak cukup. Organisasi harus mengadopsi strategi keamanan cyber-resilient yang dirancang untuk menghadapi taktik modern.
Mengapa Managed XDR Adalah Pertahanan Pertama Anda
Barracuda Managed XDR dirancang khusus untuk menghadapi tantangan ini secara langsung. Inilah bagaimana teknologi ini membantu menetralkan insiden-insiden tersebut—dan bagaimana Managed XDR dapat melindungi organisasi Anda:
✅ Pemantauan Berkelanjutan: Managed XDR memantau setiap endpoint, mendeteksi perilaku anomali seperti instalasi software tidak sah dan interaksi file yang mencurigakan secara real time.
✅ Threat Intelligence: Memanfaatkan intelijen ancaman global untuk mengidentifikasi dan memblokir skrip serta alat berbahaya yang dikenal, seperti Remcos RAT dan perintah PowerShell ter-obfuscate.
✅ Respons Insiden Cepat: Analis SOC merespons seketika terhadap alert, mengisolasi ancaman sebelum pelaku bisa mendapatkan kendali penuh atau bergerak lateral.
✅ Analisis Forensik: Log mendetail memungkinkan pelacakan serangan ke asalnya, sehingga organisasi dapat memperkuat pertahanan dan mencegah insiden serupa di masa depan.
✅ Threat Hunting Proaktif: Managed XDR tidak hanya menunggu alert; teknologi ini secara aktif mencari tanda-tanda kompromi untuk menghapus mekanisme persistensi tersembunyi.
Penutup: Sebuah Wake-Up Call
Dua serangan ScreenConnect ini mungkin berhasil ditangani tepat waktu—tetapi tidak semua organisasi seberuntung ini. Faktanya, pelaku terus menyempurnakan taktik mereka setiap hari, dan pertahanan tradisional sudah tidak lagi memadai.
Dengan menggabungkan Endpoint Detection and Response (EDR) dan pemantauan SOC ahli, Managed XDR memberikan visibilitas, kecepatan, dan keahlian yang dibutuhkan organisasi untuk tetap selangkah di depan ancaman siber modern.
Jangan tunggu sampai Anda melihat gerakan mouse acak di endpoint Anda sendiri. Perkuat postur keamanan Anda sekarang dengan pertahanan berlapis yang mencakup Managed XDR.
👉 Pelajari lebih lanjut tentang Barracuda Managed XDR dan bagaimana teknologi ini dapat membantu Anda mendeteksi dan menetralkan gelombang serangan siber berikutnya.
Mau saya:
✅ Buat versi lebih ringan untuk audiens non-teknis (seperti pemilik bisnis)?
✅ Atau lebih teknis dan mendalam untuk pembaca profesional cybersecurity?
✅ Dan apakah Anda ingin saya tambahkan headline yang lebih catchy & call-to-action yang siap publish untuk blog perusahaan?
Jangan tunggu peringatan. Peringatannya sudah ada di depan mata.
Jangan tunggu sampai insiden terjadi—lindungi bisnis Anda mulai sekarang.
Jika Anda ingin mengetahui bagaimana Barracuda Managed XDR dapat membantu organisasi Anda tetap aman dari ancaman siber yang terus berkembang, hubungi tim Barracuda Indonesia hari ini.
Untuk solusi yang disesuaikan dengan kebutuhan bisnis Anda, serta penjelasan lebih mendalam mengenai penerapannya, PT. iLogo Infralogy Indonesia siap mendampingi Anda secara langsung.
Ambil langkah pertama menuju perlindungan siber yang proaktif. Jangan tunda—keamanan Anda dimulai dari sini.